このページの目次
Tailscale 操作マニュアル
Tailscale は WireGuard ベースのメッシュ VPN です。主要な概念: tailnet(プライベートネットワーク)、node(各デバイス)、DERP(中継サーバー、直接接続できない場合に使用)、MagicDNS(自動 .ts.net ドメイン)、ACL(アクセス制御)。
ステータス確認
|
基本操作
# 起動/停止
# 一般的な up パラメータ
# アカウント切替
# 再認証 (キーが期限切れの場合)
サブネットルーティング (Subnet Router)
# ゲートウェイとして機能するノードで:
# Admin Console でルートを承認 (1回限りの操作):
# Machines → 該当ノードを検索 → Edit route settings → サブネットをチェックして Approve
# クライアントで有効化:
# 現在許可されているルートを参照
|
出口ノード (Exit Node)
# 出口ノード (通常は VPS またはパブリックエクスポートを持つホスト) で:
# Admin Console で承認後、クライアント側:
# 一時的に出口ノードを切替
DERP サーバー
# 現在の DERP 使用状況を確認
# 独自 DERP (derper) の構築
# 起動: derper -hostname derp.liz6.com -certmode manual -certdir /etc/ssl/
# ポート: 8443 (TLS、パブリック公開用)、3478 (STUN、UDP)
# Tailscale Admin Console → Access Controls にカスタム DERP マップを追加:
# "derpMap": { "Regions": { "901": { ... } } }
# DERP デバッグ
# トラフィックが DERP を経由している場合 (直接接続以外)、レイテンシが顕著に増加します
ACL 管理 (Admin Console)
# ACL は Admin Console の Access Controls ページで管理されます (JSON 形式)
# 主要な概念:
# - acls: 誰が誰/どのポートにアクセスできるか
# - groups: ユーザーグループ
# - hosts: ノードがどのソースからの接続を受け入れるかの制限
# - derpMap: カスタム DERP サーバー
# ACL の例:
# "acls": [
# {"action": "accept", "src": ["group:admin"], "dst": ["*:*"]},
# {"action": "accept", "src": ["group:dev"], "dst": ["tag:server:22,443"]},
# ]
# ACL が有効になっていない場合のテスト:
トラブルシューティング
# 1. サービス状態の確認
# 2. 接続性の確認
# "via DERP(...)" と表示される場合は中継を介しており、レイテンシが高くなります
# 3. WireGuard レベル
# 4. ファイアウォール
# Tailscale の NAT トゥルーホールには STUN (UDP 3478) と DERP (TCP 443/8443) が使用されます
# 直接接続が不通の場合、UDP がブロックされていないか確認してください
# 5. NAT 問題
# "hard NAT" は直接接続が最も困難であり、DERP の使用または手動での NAT トゥルーホールが必要になる場合があります
# 6. リセット
# 7. MagicDNS が機能しない場合
# 有効化されているか確認: tailscale debug prefs | grep -i dns
# MagicDNS の基本ドメイン: <hostname>.<tailnet>.ts.net